Уязвимость на eBay позволяет встроить вредоносный код в страницы аукционов
Компания Check Point Software, занимающаяся IT-безопасностью, обнаружила на eBay уязвимость, которая позволяет злоумышленникам использовать сайт для фишинга и заражения устройств пользователей.
Злоумышленники могут использовать технологию под названием JSFUCK, с помощью которой можно обойти систему, запрещающую встраивать JavaScript-код в страницы аукционов, передают "Комментарии".
Такой код может работать при открытии страницы как на компьютере, так и на мобильном устройстве. В видеоролике, расположенном ниже, продемонстрировано, как при открытии ссылки на eBay пользователь получает окно с предложением установить вредоносное приложение.
Согласно записи в блоге Check Point Software, компания уведомила eBay о "дыре" ещё в декабре, однако та тогда заявила, что не собирается как-либо устранять уязвимость. Тем не менее, позже eBay сообщила изданию Ars Technica, что совместно с Check Point Software на сайте были установлены различные фильтры безопасности. Также представители аукциона заявили, что пока случаев использования ошибки злоумышленниками зарегистрировано не было.
По заверениям eBay, вредоносное содержимое на сайте встречается крайне редко - менее чем в двух случаях из миллиона. Тем не менее, если вы вдруг наткнётесь на страницу аукциона, предлагающую вам что-либо установить, знайте, что безопаснее всего будет нажать кнопку "отмена".